邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)DDOS攻擊防范研究

李森

隨著軍隊(duì)辦公自動(dòng)化，作戰(zhàn)自動(dòng)化的發(fā)展，邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為了邊防部隊(duì)平時(shí)、戰(zhàn)時(shí)進(jìn)行指揮協(xié)調(diào)的主要平臺(tái)，因此高效、穩(wěn)定的網(wǎng)絡(luò)環(huán)境是保證邊防部隊(duì)平時(shí)訓(xùn)練和作戰(zhàn)任務(wù)順利完成的重要條件。DDoS攻擊不以獲取邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)中的信息為主要目的，而是通過(guò)DDoS攻擊來(lái)使得邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。在邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)中，由于DDoS攻擊破壞較大，防御困難，而且由于邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)的防范意識(shí)較為單薄，用戶層次復(fù)雜，因此研究邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)的DDoS攻擊防御對(duì)策更顯重要。

DDoS攻擊簡(jiǎn)介

DDoS攻擊原理及流程

DoS攻擊，就是通過(guò)合理的手段請(qǐng)求過(guò)多的服務(wù)器資源，從而使得合法用戶無(wú)法正常獲得服務(wù)器所提供服務(wù)的攻擊手段。DDoS則是在DoS基礎(chǔ)上產(chǎn)生的一種攻擊方式，即通過(guò)大量的攻擊機(jī)器，來(lái)同時(shí)對(duì)服務(wù)器進(jìn)行攻擊。

DDoS攻擊分成攻擊軟件安裝和攻擊實(shí)施兩個(gè)階段，進(jìn)行DDoS攻擊時(shí)，一般都會(huì)經(jīng)過(guò)如下的幾個(gè)步驟：

了解目標(biāo)情況。在一個(gè)大型的應(yīng)用中，一般都會(huì)采用負(fù)載均衡技術(shù)，有很多臺(tái)服務(wù)器來(lái)提供服務(wù)，有時(shí)甚至采用四層、七層交換機(jī)來(lái)實(shí)現(xiàn)負(fù)載均衡。那么在進(jìn)行攻擊時(shí)，攻擊者就需要更多的傀儡機(jī)來(lái)實(shí)現(xiàn)DDoS攻擊。

占領(lǐng)傀儡機(jī)。黑客會(huì)隨機(jī)掃描網(wǎng)絡(luò)中有數(shù)據(jù)庫(kù)漏洞、FTP漏洞、CGI漏洞等計(jì)算機(jī)，然后通過(guò)各種手段入侵計(jì)算機(jī)，并且獲得傀儡機(jī)的一個(gè)較高的權(quán)限。然后，利用FTP將DDoS攻擊程序上傳到傀儡機(jī)上，并通過(guò)這個(gè)攻擊程序來(lái)向被攻擊服務(wù)器進(jìn)行攻擊。

實(shí)現(xiàn)攻擊。在占領(lǐng)了足夠多的傀儡機(jī)后，攻擊者就會(huì)控制傀儡機(jī)向被攻擊服務(wù)器發(fā)送請(qǐng)求，從而造成被攻擊服務(wù)器在短時(shí)間內(nèi)需要進(jìn)行大量請(qǐng)求的響應(yīng)，一旦超出了服務(wù)器的處理能力，那么就會(huì)造成服務(wù)器的癱瘓。

DDoS攻擊分類

DDoS攻擊多種多樣，按照不同的分類標(biāo)準(zhǔn)，DDoS攻擊可以分成不同的類別。根據(jù)自動(dòng)化程度分可以分成手動(dòng)、半自動(dòng)和自動(dòng)攻擊。根據(jù)攻擊弱點(diǎn)可以分成協(xié)議攻擊和暴力攻擊，協(xié)議攻擊即通過(guò)網(wǎng)絡(luò)協(xié)議弱點(diǎn)，采取相應(yīng)的攻擊策略；暴力攻擊則是通過(guò)大量正常的請(qǐng)求來(lái)快速消耗服務(wù)器資源，從而實(shí)現(xiàn)對(duì)服務(wù)器的攻擊。根據(jù)攻擊頻率可以分成持續(xù)攻擊和變動(dòng)頻率攻擊，持續(xù)攻擊即在發(fā)動(dòng)攻擊后，就全力發(fā)起攻擊，因此在短時(shí)間內(nèi)形成大量攻擊；變動(dòng)攻擊頻率攻擊，即采取速度逐漸加快或者頻率高低變化的方式對(duì)服務(wù)器進(jìn)行攻擊。

DDoS攻擊分析

處于安全考慮，邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)中所傳輸?shù)臄?shù)據(jù)大多是經(jīng)過(guò)加密的，為此，對(duì)邊防部隊(duì)計(jì)算網(wǎng)絡(luò)實(shí)施的攻擊大多是以癱瘓計(jì)算機(jī)網(wǎng)絡(luò)的Flood攻擊為主。Flood攻擊是一種暴力攻擊方式，通過(guò)大量的正常請(qǐng)求占用服務(wù)器資源，從而實(shí)現(xiàn)對(duì)服務(wù)器的攻擊。

PingFlood攻擊

即大量傀儡計(jì)算機(jī)向服務(wù)器發(fā)送大量的ping請(qǐng)求，從而使得服務(wù)器忙于處理這些請(qǐng)求而消耗掉大量的資源，最終可能導(dǎo)致服務(wù)器無(wú)法響應(yīng)其它用戶請(qǐng)求，甚至死機(jī)。隨著信息技術(shù)的發(fā)展，PingFlood攻擊較少在邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)攻擊中應(yīng)用。

SynFlood攻擊

SynFlood利用了TCP協(xié)議三次握手的漏洞傀儡機(jī)向服務(wù)器發(fā)送的TCP數(shù)據(jù)包源IP地址是偽造的，在三次握手過(guò)程中第二步服務(wù)器所發(fā)送的SYN/ACK數(shù)據(jù)包永遠(yuǎn)也到不了傀儡機(jī)上，從而服務(wù)器無(wú)法接收到客戶端所發(fā)送的ACK數(shù)據(jù)包。這種情況下，一般服務(wù)器會(huì)一段時(shí)間內(nèi)重復(fù)按照SYN數(shù)據(jù)包的源地址發(fā)送SYN/ACK數(shù)據(jù)包，使得服務(wù)器端在較長(zhǎng)的一段時(shí)間內(nèi)需要維護(hù)一個(gè)很大的半連接列表，不僅需要進(jìn)行繁忙的重復(fù)發(fā)送SYN/ACK操作，而無(wú)法響應(yīng)正常用戶請(qǐng)求，同時(shí)還有可能由于半連接表長(zhǎng)度過(guò)大，而導(dǎo)致數(shù)據(jù)溢出，最終造成服務(wù)器崩潰，造成邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)中斷。

UDPFlood攻擊

UDP是一種無(wú)連接協(xié)議，在進(jìn)行數(shù)據(jù)傳輸時(shí)，不需要建立客戶端與服務(wù)器的連接。因此，攻擊者可以隨意給服務(wù)器發(fā)送大量UDP數(shù)據(jù)包。當(dāng)服務(wù)器接收到客戶端素所發(fā)送的UDP數(shù)據(jù)包之后，通過(guò)對(duì)UDP數(shù)據(jù)包的分析，如果在服務(wù)器上沒(méi)有找到正在等待該UDP數(shù)據(jù)包的應(yīng)用程序，則向偽造源地址發(fā)送一個(gè)ICMP數(shù)據(jù)包，當(dāng)足夠多的客戶端發(fā)送了足夠多的UDP數(shù)據(jù)包給服務(wù)器時(shí)，就會(huì)造成服務(wù)器的崩潰，最終造成部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)的中斷。

SMURF欺騙

這種攻擊方式結(jié)合了ICMP響應(yīng)和IP欺騙的方式，在短時(shí)間內(nèi)形成大量、正常的服務(wù)器請(qǐng)求，最終導(dǎo)致服務(wù)器拒絕為正常的請(qǐng)求進(jìn)行相應(yīng)。其具體流程如下：攻擊者偽造服務(wù)器IP地址，向路由器發(fā)送一個(gè)IP廣播地址分組，在網(wǎng)絡(luò)中廣播一個(gè)echo請(qǐng)求，路由器在接收到這個(gè)廣播分組之后，會(huì)向網(wǎng)段中的所有主機(jī)廣播這個(gè)消息，由于消息的源地址為偽造的服務(wù)器地址，因此所有主機(jī)都會(huì)向服務(wù)器發(fā)送echo響應(yīng)信息，如果所在的局域網(wǎng)較大，那么在短時(shí)間內(nèi)就有數(shù)百臺(tái)的主機(jī)向服務(wù)器發(fā)送echo請(qǐng)求消息。由于大多數(shù)的服務(wù)器都會(huì)優(yōu)先處理ICMP傳輸信息，為此短時(shí)間內(nèi)大量的echo信息就可以輕易的阻止服務(wù)器拒絕正常用戶的請(qǐng)求，從而使得邊防部隊(duì)局域網(wǎng)中斷。

防范策略

根據(jù)邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)和DDoS的特點(diǎn)，可以采取如下的手段來(lái)提高邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)的抗DDoS攻擊能力。

簡(jiǎn)單服務(wù)，嚴(yán)格的訪問(wèn)控制

簡(jiǎn)單服務(wù)基于“越單一，越安全”原則，如果邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用過(guò)多，一旦攻擊者找到其中某個(gè)應(yīng)用的漏洞，就有可能獲取計(jì)算機(jī)足夠高的權(quán)限來(lái)發(fā)動(dòng)攻擊。嚴(yán)格方位控制，即通過(guò)防火墻技術(shù)的支持，除非是被明確允許的行為，否則一律予以拒絕。

進(jìn)行定期安全檢查

在具體的工作中，可以采用如下兩種工具來(lái)實(shí)現(xiàn)邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的檢查：入侵檢測(cè)工具?？梢詫?shí)現(xiàn)入侵蹤跡的實(shí)時(shí)監(jiān)測(cè)，同時(shí)也可以進(jìn)行漏洞監(jiān)測(cè)，幫助管理員及時(shí)發(fā)現(xiàn)系統(tǒng)所存在的漏洞，以及及時(shí)了解網(wǎng)絡(luò)的異常情況。系統(tǒng)完整性監(jiān)測(cè)工具。

建立完善的報(bào)警機(jī)制

邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)中的基準(zhǔn)值主要包括錯(cuò)誤數(shù)據(jù)包的數(shù)量和類型、各類數(shù)據(jù)包占總力量的比例、各類數(shù)據(jù)包的發(fā)送頻率、帶寬利用率等。通過(guò)正常時(shí)，對(duì)網(wǎng)絡(luò)進(jìn)行多次測(cè)量來(lái)確定基準(zhǔn)值，一旦這些參數(shù)發(fā)生變化，就及時(shí)通知管理員對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控，從而提高邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)抵抗DDoS攻擊的能力。

日志記錄分析

日志記錄的分析是處理DDoS攻擊的主要手段之一，但是一般的日志記錄并沒(méi)有詳細(xì)信息，而且也缺乏對(duì)日志信息進(jìn)行檢索和統(tǒng)計(jì)的手段。為此，網(wǎng)絡(luò)管理員應(yīng)該采用其他輔助工具來(lái)進(jìn)行日志的記錄和日志記錄的分析。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)中的以外事件，或者是基準(zhǔn)值超標(biāo)時(shí)，就可以通過(guò)日志記錄分析工具來(lái)實(shí)現(xiàn)快速定位，并且制定相應(yīng)的解決措施，保證邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全。

邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)對(duì)安全性要求極高，計(jì)算機(jī)網(wǎng)絡(luò)安全甚至可以決定一場(chǎng)戰(zhàn)爭(zhēng)的勝敗。由于邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)的特點(diǎn)，網(wǎng)絡(luò)攻擊主要以DDoS攻擊為主，本文通過(guò)對(duì)邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)中DDoS攻擊的分析，對(duì)邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)如何防范DDoS攻擊進(jìn)行了研究，從而為提高邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全性盡自己的一份努力。